Support #28147
Utilisateurs LDAP en double
0%
Description
Bjr,
Nous avons régulièrement des utilisateurs qui se retrouvent en double dans la base de données Authentic2 (voir exemple ci-joint).
Nous soupçonnons ces utilisateurs en doublon d'avoir été déplacés d'une OU à une autre (mais nous n'avons pas eu de confirmation ferme sur ce sujet).
Ce comportement est-il connu ou normal ? Le DN LDAP sert-il de clé à un endroit ou à un autre dans Authentic2 ? Si oui, existe-t-il une option pour changer ce comportement ?
Merci d'avance.
Files
History
Updated by Benjamin Dauvergne over 6 years ago
La clé utilisée pour dédoublonner les comptes LDAP dépend de la configuration, il y a longtemps c'était le DN mais désormais c'est l'uid/samaccountname. Il faut d'abord regarder dans quel cas vous vous trouvez.
Updated by Clément Véret over 6 years ago
Benjamin Dauvergne a écrit :
La clé utilisée pour dédoublonner les comptes LDAP dépend de la configuration, il y a longtemps c'était le DN mais désormais c'est l'uid/samaccountname. Il faut d'abord regarder dans quel cas vous vous trouvez.
Ça correspondrait à ça :
"external_id_tuples": [["samaccountname"], ["dn:noquote"]],
?
Si c'est le cas, je peux mettre n'importe quoi comme champs LDAP dedans ?
Updated by Benjamin Dauvergne over 6 years ago
Clément Véret a écrit :
Benjamin Dauvergne a écrit :
La clé utilisée pour dédoublonner les comptes LDAP dépend de la configuration, il y a longtemps c'était le DN mais désormais c'est l'uid/samaccountname. Il faut d'abord regarder dans quel cas vous vous trouvez.
Ça correspondrait à ça :
"external_id_tuples": [["samaccountname"], ["dn:noquote"]],
Tout à fait.
Si c'est le cas, je peux mettre n'importe quoi comme champs LDAP dedans ?
Oui mais normalement pour un simple changement d'OU samaccountname aurai du suffire, attention ça ne dédoublonne que pour un seul "realm", si tu as deux configurations LDAP qui présentent les mêmes identifiants, il faut que les clés "realm" soient égales (et donc la clé réelle pour un utilisateur c'est le couple "realm" + la construction "extenal_id_tuples"), tu peux aussi passer par objectGUID sur AD ou entryUUID sur OpenLDAP et dérivés (mais sur OpenLDAP si ce n'est pas de la réplication native je ne pense pas que ça marche).
Updated by Benjamin Dauvergne over 6 years ago
- Status changed from Nouveau to Information nécessaire
- Assignee changed from Benjamin Dauvergne to Clément Véret
Est-ce que ce souci est corrigé ?
Updated by Clément Véret over 6 years ago
Benjamin Dauvergne a écrit :
Est-ce que ce souci est corrigé ?
Pas tout-à-fait. Nous pensions que le souci était uniquement lié à la clé (et c'est effectivement vrai pour les gens qui changent d'OU dans les différents annuaires fédérés et donc de DN), mais nous avons un nouveau cas : les personnes utilisant Internet Explorer (11 ou Edge) peuvent valider plusieurs fois le formulaire de login (et créer des doublons du coup).
Ça fait nettement moins de cas (les mouvements d'annuaire sont plus fréquents que les double-validation du formulaire de login), mais ça arrive quand même.